Investigation & transformation numériques

Atelier de l’AFNIC sur les noms de domaines internationalisés

Le 10 février 2011 à Paris, l’AFNIC – Association française pour le nommage Internet en coopération, organisait un atelier d’étude sur les noms de domaines internationalisés. Ce fut l’occasion de faire le point sur les projets de l’AFNIC dans ce domaine et les différents enjeux que cela ne manquera pas de soulever pour l’ensemble des acteurs.

L’atelier a duré près de 4 heures et s’est déroulé en trois parties: d’abord une introduction sur le sujet par Stéphane Bortzmeyer, suivie de deux tables rondes. La première table ronde a permis d’évaluer les attentes de la communauté des utilisateurs, tandis que la seconde portait sur les aspects opérationnels du lancement de cette nouvelle capacité des noms de domaine en .fr.

Les noms de domaine internationalisés

Stéphane Bortzmeyer (@bortzmeyer, blog) a publié le diaporama de son introduction. Ce qu’il faut retenir selon moi est qu’on est en train de déployer progressivement (depuis la première moitié des années 2000), dans les infrastructures de gestion des noms de domaines, la possibilité d’utiliser des caractères autres que les lettres de l’alphabet latin de a à z et les chiffres de 0 à 9. Ainsi, on voit apparaître des sinogrammes, des caractères cyrilliques ou du sanscrit dans les URL:

  • http://президент.рф/ (site du président russe, on notera au passage le domaine de tête internationalisé aussi « рф » pour « fédération de russie » et en complément du « .ru » classique)
  • http://müller.de/ (93 caractères supplémentaires ont été rajoutés pour le domaine de tête .de de l’Allemagne, y compris le « ß »)
  • ou bien en arabe http://وزارة-الأتصالات.مصر/ ou encore en coréen http://휴대폰.com/

Le domaine de tête européen « .eu » a ouvert la création de noms de domaines internationalisés dans les langues des 27 pays membres de l’Union Européenne en décembre 2009. Ainsi http://www.crimenumérique.eu/ redirige-t-il vers le présent blog 🙂

Sur le plan technique, et normalement de façon transparente pour l’utilisateur, les différentes chaînes de caractères ne sont pas directement implémentées dans le protocole DNS mais sont transformées à nouveau en chaînes de caractères ASCII. Ainsi, le RFC 3490 prévoit un encodage « compatible ASCII » ou ACE des chaînes de caractères Unicode (voir l’article de Wikipédia sur le punycode et le RFC 3492). Un préfixe a été choisi en 2003 pour identifier ces noms de domaines internationalisés, il s’agit de « xn--« . Ainsi www.crimenumérique.eu est-il représenté par www.xn--crimenumrique-ihb.eu.

Résumé de l’atelier

Voici quelques points clés que j’ai retenus de cet atelier:

  • L’AFNIC envisage de lancer les noms de domaines internationalisés pour le domaine de tête « .fr » d’ici la fin de l’année 2011;
  • La décision n’est pas encore prise sur les chaînes de caractères qui seront autorisées. Le débat a permis d’entendre plusieurs arguments pour ou contre la prise en charge – en plus des caractères diacritiques essentiels de la langue françaises, ceux des langues régionales, des langues parlées dans les pays européens voisins ou ceux des langues parlées en France de façon plus générale (comme l’arabe dialectal ou le chinois par exemple). Mon analyse personnelle est qu’il est vraisemblable que dans un premier temps l’ouverture se fera d’abord sur les caractères accentués classiques du français.
  • Il semble se dégager un consensus – en tous cas au cours de cet atelier – pour un lancement le plus simple possible, donc éventuellement sans période de « lever de soleil » et en tous cas de prendre au moins en compte les titulaires préalables des domaines « non accentués » pour l’attribution des nouveaux « avec accents ». Mais la question n’est pas aussi simple qu’il y paraît, les accents apportant des nuances de sens parfois importantes (voir les exemples dans la présentation de Stéphane Bortzmeyer).
  • Les préoccupations des détenteurs de marques sont importantes, et si évidemment cette ouverture crée de nouvelles opportunités en termes de communication, il leur paraîtrait judicieux de ne pas faire débuter toutes les réformes en même temps (l’AFNIC confirmait aussi l’ouverture à venir, au profit des entreprises européennes et des personnes demeurant en Europe, du domaine de tête « .fr »).
  • Deux notes techniques au passage: il restera des subtilités de la langue française qui ne pourront pas être prises en compte telles que certains caractères spéciaux comme les apostrophes ou les majuscules qui donnent parfois un sens différents aux mots en français (différence entre État et état), et si les noms de domaines prennent en compte les polices de caractères avancées, il n’existe pas encore de standard stabilisé pour la gestion de ces caractères dans la partie locale (avant l' »@ ») des adresses de courrier électronique.
  • Enfin, Cédric Manara (@cedricmanara, blog) met à disposition des internautes la présentation qu’il a faite et qui comporte une étude des litiges traités par l’UDRP sur des noms de domaines internationalisés.

Enjeux pour les enquêteurs

Les enjeux pour les enquêteurs (mais aussi évidemment, les experts judiciaires, les magistrats ou toutes les personnes qui réalisent des investigations numériques) sont multiples:

  • Bien entendu, il s’agit d’abord de se tenir informé de ces évolutions qui seront de plus en plus rencontrées (on peut aussi citer l’arrivée des adresses IP v6).
  • Ensuite, comme tout un chacun, ils seront confrontés à la non-adaptation des outils du quotidien (navigateurs Internet, logiciels de messagerie) ou des outils spécialisés (de nombreuses interfaces Web de whois ne sont pas encore correctement paramétrées).
  • Enfin, et surtout, cette évolution multiplie les possibilités d’erreurs, notamment lors de la retranscription des adresses. Ainsi, les témoignages des victimes, les copies d’écran, les fax etc. ne permettront pas toujours de distinguer plusieurs adresses semblables. En effet, même si les adeptes du phishing n’exploitent pas réellement les attaques par homographie (mots qui se ressemblent), le risque de confusions est réel. Même si cela est possible aujourd’hui lorsqu’on retranscrit la lettre « l » minuscule plutôt que le chiffre « 1 », les variations explosent. Et bien évidemment ce sera plus complexe pour un enquêteur français de recopier des idéogrammes chinois que pour un enquêteur chinois. La recommandation principale sera de favoriser soit les échanges électroniques (que ce soit avec les victimes ou avec les opérateurs auxquels on adresse questions ou réquisitions) et l’utilisation de la conversion en caractères ASCII (les chaînes commençant par « xn--« ).

En conclusion, je tiens à remercier l’AFNIC et les participants aux tables rondes pour cet atelier particulièrement instructif, qui m’a permis, même si je connaissais ce problème, d’avoir l’occasion d’y consacrer plusieurs heures de réflexion et d’échanges. Enfin, je ne peux que conseiller à mes lecteurs de continuer de se tenir informés de ces différentes évolutions qu’ils soient de simples utilisateurs et titulaires de noms de domaines ou des personnes chargées de missions d’investigation numérique. L’AFNIC devrait continuer la démarche de dialogue et d’information entreprise dans les mois à venir, avant le lancement effectif de cette nouvelle offre, mais n’oublions pas que c’est déjà aujourd’hui une réalité dans de nombreux domaines de tête et en particulier en Europe…

11 février 2011 by Conférences Prospective 3

Ouverture de la licence professionnelle NTECH

La gendarmerie nationale forme ses enquêteurs dans de nombreux domaines: la délinquance économique et financière, les atteintes à l’environnement et à la santé publique, l’analyse criminelle, etc.

Depuis 2001, après une première phase expérimentale, son centre national de formation de la police judiciaire (CNFPJ à Fontainebleau) accueille des stagiaires dans le domaine de la lutte contre la cybercriminalité: les enquêteurs « NTECH » ou « enquêteurs en technologies numériques ».

Progressivement cette formation s’est enrichie et en 2005 un partenariat fut noué avec l’université de technologie de Troyes, avec la création d’un diplôme d’université et la réalisation d’une partie des cours à Troyes. D’autres partenariats existent déjà, par exemple avec l’université de Strasbourg pour la formation en délinquance économique et financière. Le partenariat avec l’UTT permet d’ores et déjà aux gendarmes NTECH les plus expérimentés d’accéder au Master SSI de cette université.

Dans le même temps, des projets successifs, financés par l’Union européenne, ont permis (toujours depuis 2001) aux services spécialisés des différents états membres de l’Union Européenne d’échanger sur des bonnes pratiques en matière de formation à la lutte contre la cybercriminalité. La gendarmerie nationale a participé à ces travaux depuis le début. Ils ont permis de développer ensemble des modules de formation (comme celui sur l’analyse forensique des systèmes vivants que j’évoquais en 2009). Ils ont aussi conduit à définir ensemble une stratégie visant à développer les partenariats académiques pour ces formations et ainsi les enrichir et les consolider. Ce travail collectif se poursuit depuis 2007 dans le cadre de l’European cybercrime training and education group (site Web en cours de développement).

Ce travail commun a permis à la gendarmerie nationale et à l’UTT de construire aujourd’hui ensemble une véritable formation diplômante, reconnue depuis cette année par le Ministère de l’Education Nationale, la licence professionnelle d’Enquêteur en technologies numériques. Ainsi, chaque année dorénavant, la vingtaine de stagiaires qui finalisent avec succès l’ensemble des modules théoriques et pratiques recevront une licence professionnelle. Les premiers concernés feront leur rentrée le 17 janvier prochain à Fontainebleau et poursuivront leur année de formation en alternant les séjours à l’UTT avec ceux réalisés au CNFPJ, des modules de formation à distance, les travaux pratiques dans leurs unités et pour finir la rédaction d’un mémoire.

4 janvier 2011 by Cybercriminalité Formation 0

27C3 – Jour 1

Du 27 au 30 décembre 2010, le 27ème Chaos Communication Congress se tient à Berlin. Le programme de la première journée est accessible en ligne et les sessions diffusées en direct. On peut aussi en suivre l’actualité sur twitter @27c3. Les enregistrements des conférences seront notamment référencés sur ce wiki.

L’an dernier je vous avais proposé de partager mon suivi de la conférence 26C3 en direct ou en différé, au long de quatre billets de ce blog (1, 2, 3 et 4).

Keynote, Rop Gonggrijp, We come in peace

L’ouverture était confiée cette année à Rop Gonggrijp (@rop_g, et sur Wikipédia) avec un retour sur les évènements des années précédentes, son travail notamment sur les faiblesses des systèmes de vote électronique, son point de vue sur les développements de Wikileaks et les errements des Anonymous. Enfin il a conclu sur le souhait de voir le Chaos Communication Congress continuer d’être un succès et ses organisateurs d’être à l’écoute de la communauté.

Voir son billet sur le blog du conférencier.

(MAJ 14:26 27/12/2010)

(MAJ 30/12/2010)

Lexi Pimenidis (idev), Dominik Herrmann (University of Regensburg), Contemporary profiling of Web users, ou comment les techniques d’anonymisation peuvent être contournées

Dans cette présentation, les auteurs montrent

  • l’utilisation de Javascript pour obtenir des informations personnelles comme l’adresse IP réelle de connexion, malgré l’utilisation de proxies d’anonymisation;
  • la collecte d’informations sur les profils des utilisateurs par les proxies d’anonymisation, les serveurs DNS alternatifs (Google, OpenDns) et les points de sortie Tor; l’idée est ici d’analyser statistiquement les sites visités et d’autres caractéristiques au cours d’une session de navigation pour l’associer à un utilisateur donné et ainsi le suivre sur plusieurs sessions, plusieurs jours…;
  • la détection de bots par leur comportement ou leur signature (notamment des exemples intéressants de différences de présentation des champs d’en-tête par différents types de vrais navigateurs en comparaison à des bots qui simulent des navigateurs Web);
  • un type d’attaque locale (donc sur le réseau local de l’ordinateur surveillé) sur Tor qui permet de mesurer quels sont les sites visités à partir de l’analyse du trafic, alors même que ce protocole d’anonymisation est utilisé;

Marc « van Hauser » HeuseRecent advances in IPv6 insecurities

Présentation particulièrement intéressante et fouillée des erreurs de conception inhérentes à IPv6, qui vient compléter celle qu’il avait déjà faite voilà cinq ans (on peut la télécharger sur son site). Ce protocole qui a été conçu voilà une quinzaine d’années a tout d’abord hérité de certaines faiblesses d’IPv4 et évidemment permet de nouvelles formes d’attaques. L’auteur a développé un ensemble d’outils (THC-IPv6) qui permettent de faire différentes expérimentations sur IPv6 et notamment d’exploiter certaines de ces failles. On citera notamment des possibilités d’attaques en déni de service sur des réseaux locaux par le lancement d’annonces de routage et plusieurs façons de rediriger le trafic. Enfin, van Hauser montre de façon particulièrement pertinente que contrairement à l’idée qu’on pourrait en avoir, le nombre réel d’hôtes à scanner sur un sous-réseau est nettement inférieur à son nombre théorique (quelques milliers par rapport à 2^⁶⁴), notamment parce que dans de nombreux cas, les numéros alloués aux hôtes ne sont pas donnés au hasard (adresse MAC, type de serveur par son numéro de port typique comme 80 pour le Web, numérotations proposées dans les documentations…).

Collin Mulliner (@collinrm) & Nico Golde, Berlin Institute of Technology, SMS-o-death

L’idée de cette présentation est de regarder les vulnérabilités liées aux SMS sur les « feature phones », c’est-à-dire les téléphones mobiles les plus communs encore aujourd’hui, malgré l’essor des smartphones. Moins coûteux, ils ont quand même un grand nombre de fonctionnalités intégrées. Tous ces téléphones étant souvent basés sur une architecture commune, par économie de développement pour les fabricants, un défaut sera reproductible sur de nombreux modèles différents. Ils ont ainsi étudié des téléphones de chez Nokia, Samsung, Sony Ericsson, LG, Motorola et Micromax (populaire en Inde).

Les SMS sont un vecteur évidemment intéressant pour les attaques, puisqu’il peut être émis depuis n’importe quel endroit. L’année dernière, Collin Mulliner avait présenté des insertions de SMS pour attaquer des smartphones. Pour leurs expérimentations, ils ont utilisé OpenBSC (présenté au SSTIC par H. Welte), une implémentation libre de contrôleur de station de base GSM et les ont menées dans une cage de Faraday.

Les failles découvertes montrent qu’il est possible de faire planter tous les modèles de téléphones testés à différents degrés, avec un ou plusieurs SMS, parfois sans nécessiter que l’utilisateur ouvre le message (messages Flash). Dans certains cas le téléphone n’accusant pas réception du SMS, le réseau renvoie le message rendant le téléphone inutilisable tant que le SMS n’est pas accepté en insérant la carte SIM dans un terminal d’un autre fabricant.

Ils ont ensuite conclu sur des scénarios d’attaques massives qui pourraient utiliser ce mécanisme pour s’en prendre à un opérateur ou à une foule d’utilisateurs.

A suivre… (je mettrai à jour ce billet au fur et à mesure du visionnage des conférences ce qui pourrait prendre une bonne semaine !)

27 décembre 2010 by Conférences 0

Audition à l’Assemblée Nationale

Patrice VERCHERE, député.

J’ai été auditionné pendant un peu plus d’une heure à l’Assemblée Nationale, le 14 décembre 2010, devant la mission d’information commune sur la protection des droits de l’individu dans la révolution numérique.

Vous pouvez retrouver l’enregistrement de cette audition sur le site de l’Assemblée. J’étais interrogé par M. Patrice VERCHERE, co-rapporteur de cette mission.

J’ai d’abord été invité à exposer pendant une quinzaine de minutes un certain nombre de propos liminaires pour expliquer l’action de la gendarmerie nationale, mais aussi les actions que nous menons en partenariat avec la police nationale. Je suis ensuite revenu sur quelques points discutés récemment dans les débats de cette mission dont le statut juridique de l’adresse IP et l’obligation de notification des incidents de sécurité. Enfin j’ai fait un certain nombre de propositions concrètes et notamment sur des points de droit:

  • la nécessité de simplifier notre cadre juridique, notamment lorsqu’il s’agit de définir les obligations des acteurs de l’Internet;
  • le besoin d’étendre les cyberpatrouilles (ou investigations sous pseudonymes) à toutes les infractions où cet outil permettra d’être plus efficace dans leur résolution (et notamment les atteintes aux systèmes de traitement automatisé de données, la contrefaçon, la haine raciale et les infractions économiques et financières facilitées par Internet)
  • le souhait que nous avons de voir étendre les réquisitions à personnes qualifiées pour les actes techniques simples (à savoir les constations sur les supports de preuve numérique) aux enquêtes sur commission rogatoire.

Enfin, j’ai répondu à un grand nombre de questions qui portaient sur des sujets tout aussi variés que les réseaux sociaux, la régulation de l’Internet, la coopération internationale, l’identité numérique et la carte d’identité numérique ou les dispositifs de captations de données prévus par la LOPPSI.

16 décembre 2010 by Cybercriminalité Juridique Prospective 1

Le Netcode pour les ados

Action Innocence lance aujourd’hui le Netcode. Ce nouvel outil de prévention décline une dizaine de règles de bonne conduite sur le Net à destination des ados sous forme des saynètes dessinées divertissantes et parlantes :

Je m’oppose aux agressions, je ne les filme pas, je ne fais pas circuler d’images violentes ou humiliantes.

ou encore:

Si j’accepte un rendez-vous, j’y vais accompagné(e).

Pour télécharger la plaquette, rendez-vous sur le site de l’association.

18 octobre 2010 by Atteintes aux mineurs Prévention Prospective 0

Ne soyez pas des ânes !

Le chômage, les difficultés économiques que traverse notre pays sont autant d’opportunités que les groupes criminels tenteront d’exploiter. Ainsi, aujourd’hui en France, comme dans beaucoup d’autres pays, d’honnêtes citoyens sont recrutés à leur insu par des groupes criminels, avec l’espoir d’un revenu facile et attractif.

Non seulement ce n’est pas un emploi solide, mais le risque n’en vaut pas la chandelle.

Pourquoi les groupes criminels recrutent-ils des mules ?

Les mules sont des intermédiaires. Deux usages principaux sont rencontrés aujourd’hui: les transferts financiers et les transferts de biens matériels.

Un certain nombre de mécanismes sont en place pour limiter les fraudes. Ainsi, pour beaucoup d’établissements bancaires, un virement vers un compte bancaire étranger ne pourra être mis en place que dans le cadre d’une procédure particulière qui suppose une interaction entre le client et son conseiller en agence (courrier, fax, téléphone ou déplacement dans son agence bancaire). Les commerçants en ligne n’acceptent pas aveuglément tous les types de transaction et notamment les livraisons de produits coûteux tels que des télévisions ou des ordinateurs vers des pays étrangers.

Ainsi, je vous parlais en avril dernier du démantèlement d’une entreprise criminelle dont les activités consistaient à répondre au téléphone à la place des titulaires des comptes pour valider les transactions. Mais ce n’est qu’une étape dans le processus.

Aussi, lorsque les escrocs veulent utiliser un numéro de carte bancaire, les identifiants de connexion à un compte bancaire en ligne, pour se faire livrer des produits ou vider un compte, ils ont besoin d’intermédiaires dans le pays où se trouve la victime.

Comment ils les recrutent ?

On rencontre plusieurs typologies de recrutement et elles deviennent de plus en plus massives et complexes.

Le recrutement communautaire et par contacts.

C’est celui qu’on rencontrait les premières années. Ainsi, dans un certain nombre d’affaires du début des années 2000, les mules étaient recrutées dans des familles originaires des mêmes régions que les escrocs, tout simplement parce que la barrière de la langue était difficile à surmonter, ou parce qu’il fallait établir un lien de confiance avec ces futurs intermédiaires, ou peut-être pour avoir des moyens de pression supposés sur la famille restée au pays ?

Mais nous n’en sommes plus là.

Le recrutement par les offres d’emploi

Le système est maintenant bien rôdé. Les escrocs montent des entreprises fictives qui utilisent les moyens les plus variés et les plus efficaces pour recruter leurs mules : pourriels, réponse à des petites annonces de chercheurs d’emploi ou publication de petites annonces.

Ainsi, un courrier électronique que j’ai reçu cet été :

 

Cliquez pour agrandir

 

Mais parfois, on s’adressera à vous en français. Voilà quelques mois une victime de ce schéma témoignait par exemple sur le blog eBusiness. Les escrocs ici n’hésitaient pas à se faire passer pour une entreprise française légitimement enregistrée et à délivrer des faux contrats de travail.

Comment ça marche ?

Une fois « embauché », selon un contrat de travail bidon, la tâche proposée est effectivement assez simple. On reçoit chez soi des colis postaux de dizaines de commerçants différents, et on est chargé de les réexpédier vers leur destinataire réel. Ou bien, on reçoit de l’argent sur son compte bancaire. A charge pour vous de retirer l’argent en liquide et de le réexpédier vers leur destinataire par Western Union ou Moneygram.

Dans un billet récent, Brian Krebs révélait l’interface de gestion qui permettait à la société fictive « Forte Group Inc. » (les activités de cette entreprise sont aussi évoquées ici) de donner des directives à ses employés fictifs. Ainsi, dans le cas décrit, l’employée était invitée à transmettre la somme reçue en trois portions, deux par Western Union et la troisième par Moneygram. L’interface de gestion permettant ensuite de fournir les références des transactions pour le retrait par leur destinataire.

 

Les instructions transmises par l'entreprise criminelle

 

Que risque-t-on ?

La législation française peut être particulièrement sévère contre les personnes qui se trouvent impliquées dans ce type d’activités illégales. Selon qu’on saura ou non convaincre la justice de sa bonne foi, la mise en cause peut aller jusqu’à des accusations de recel ou de complicité.

En janvier dernier, je relatais une opération de police judiciaire menée conjointement par la gendarmerie et la police judiciaire dans les Alpes Maritimes, impliquant plusieurs de ces mules. Bien évidemment leurs commanditaires sont aussi recherchés dans ce type d’enquêtes.

Que faire ?

Bien évidemment, méfiez-vous de toutes les offres d’emploi qui promettent un travail facile, à domicile, et qui suppose la réception et la retransmission de colis ou de sommes d’argent. N’hésitez pas à signaler de tels faits sur la plateforme de signalement du ministère de l’intérieur: https://www.internet-signalement.gouv.fr/.

Si vous êtes dans cette situation, arrêtez rapidement toute coopération, et rendez vous dans votre brigade de gendarmerie ou le commissariat de police le plus proche pour signaler votre employeur malhonnête. Cette situation est effectivement complexe, aussi n’hésitez pas à faire appel à un avocat. Tous les éléments qui prouvent votre bonne foi et notamment le fait que vous signaliez de vous-même la situation plaideront en votre faveur, ainsi que la restitution de toutes les sommes ou marchandises indûment perçues.

Enfin, si vous êtes commerçant ou particulier, à l’autre bout de la chaîne, c’est-à-dire si votre compte bancaire a été débité à votre insu, votre carte bancaire utilisée pour effectuer des achats frauduleux, votre site de commerce électronique victime de ces abus, déposez plainte le plus rapidement possible en apportant l’ensemble des éléments à votre disposition pour permettre l’identification rapide des suspects.

Et les enquêtes internationales finissent par aboutir. En témoigne l’opération « Trident BreACH/ACHing mules » menée récemment conjointement par les polices américaine, anglaise et ukrainienne.

17 octobre 2010 by Cybercriminalité Juridique 1

Les dix ans des Assises de la sécurité et des systèmes d’information

Les Assises de la sécurité et des systèmes d’information tenaient leur dixième édition à Monaco du 06 au 09 octobre 2010. Cet événement rassemble des RSSI de toute la France, des fournisseurs de solutions de sécurité et plus généralement la communauté de la sécurité des systèmes d’information.

Organisées assez classiquement autour d’un salon, où les exposants présentent leurs solutions, les assises sont rythmées par des séances plénières avec quelques invités prestigieux et des ateliers qui abordent les problématiques de la sécurité sous différents angles parfois très concrets ou plus simplement pour présenter des prestations ou des produits. Je dois avouer que j’étais évidemment plus intéressé par les présentations plus concrètes, mais la communauté des RSSI a aussi et sûrement besoin de mieux connaître et discuter les offres existant sur le marché.

Les séances plénières auxquelles j’ai pu assister :

  • Enrique Salem, CEO de Symantec, nous a présenté sa vision des usages numériques d’aujourd’hui et demain et de leurs conséquences sur la sécurité ;
  • Eugène Kaspersky (qui a laissé tomber la barbe!), fondateur et président de Kaspersky Lab, nous a livré sa vision de la cybercriminalité aujourd’hui et de la réponse qu’il recommande: une police mondiale de l’Internet et l’identification sécurisée de toutes les personnes qui publient de l’information ou achètent sur Internet. J’en reparlerai sûrement.
  • « Dix ans de risque informatique… un regard vers le futur immédiat ». Cette table ronde réunissait Alex Türk, sénateur du Nord et président de la CNIL, Michel Riguidel, chercheur à l’ENST et Hervé Schauer, président et fondateur de HSc. Une petite heure de réflexions passionnantes sur les défis des dix prochaines années en sécurité numérique. Ce que j’en retire principalement est qu’on n’est pas au bout de surprises, avec un Internet qui dans cinq ans ou dix ans ne ressemblera plus à celui que nous connaissons aujourd’hui; l’individu et sa protection et la protection des Etats seront vraisemblablement les sujets majeurs de la sécurité numérique des prochaines années, tout autant que la protection des intérêts économiques des entreprises.
  • Et en clôture la simulation du procès pénal des réseaux sociaux. Il s’agissait ici de réfléchir avec l’auditoire sur les risques d’un usage mal informé des réseaux sociaux, des abus de certaines de ces plateformes et de l’exploitation qui peut en être faite par les criminels. Beaucoup de rires dans cette simulation du procès du mystérieux « Raizosocio », mais aussi tous les instruments d’une réflexion à poursuivre, merci à tous les « acteurs » !

Parmi les présentations auxquelles j’ai assisté, je citerais :

  • Un atelier organisé par Fortinet pour présenter les enjeux de la SSI dans des groupes à dimension mondiale et comparer les points de vue d’Areva et d’Alstom. Peu de surprises, mais une bonne synthèse des enjeux.
  • Les faux antivirus étaient illustrés par Nicolas Brulez (@nicolasbrulez) de Kaspersky Labs : une présentation vivante et très complète. A noter au passage la confirmation dans ses travaux qu’il y a parfois automatisation des processus d’empoisonnement des moteurs de recherche (j’en parlais en début d’année ici).
  • Une démonstration d’ingénierie sociale facilitée par les réseaux sociaux, faite par Arnauld Mascret de Sogeti ESEC R&D.

Enfin, le prix de l’innovation a été créé en 2006 et récompensait pour sa cinquième édition une jeune entreprise que nous connaissons bien: Arxsys. Créée par 4 anciens élèves de l’Epitech, Arxsys a pour ambition de développer une offre autour de l’investigation numérique, grâce au développement d’une plateforme opensource dédiée à cette mission, le Digital forensics framework et de services adaptés aux différents utilisateurs (forces de police et entreprises notamment lors des réponses à incident). Leur plateforme est désormais bien aboutie, et j’invite toute la communauté de l’investigation numérique à la tester rapidement, et à contribuer aux développements opensource. J’espère que cette initiative fera naître d’autres projets innovants français (et pourquoi pas opensource) au service de l’investigation numérique. Bravo à eux pour ce Prix !

Les rencontres dans les allées des Assises, lors des événements sociaux, dans les ateliers ont permis certainement à tous de nombreux échanges. En tous cas, j’ai personnellement pu avoir de longues heures de discussions passionnantes cette semaine et quelques nouvelles idées dans ma besace. Merci aux organisateurs !

9 octobre 2010 by Criminalistique numérique Cybercriminalité Prospective Sécurité 2

Rentrée à Rosny-sous-Bois

(image sur le site de la gendarmerie nationale)

J’évite de trop personnaliser les témoignages que j’apporte sur ce blog, mais la rentrée m’a contraint à rester silencieux pendant plusieurs semaines, non pas par manque d’inspiration, mais emporté que j’étais par mes nouvelles tâches.

En effet, depuis le 16 août, j’ai eu l’honneur de rejoindre la tête de la Division de lutte contre la cybercriminalité (DLCC) du Service technique de recherches judiciaires et de documentation (STRJD) de la gendarmerie nationale à Rosny-sous-Bois. J’ai donc été très occupé par ces nouvelles responsabilités et me suis presqu’entièrement consacré à celles-ci.

Je ne révélerai évidemment pas les détails des affaires que nous traitons au quotidien, mais je profite de ma petite tribune pour vous présenter mon unité. L’histoire de la DLCC remonte à 1998. A l’époque, je travaillais à proximité dans le Fort de Rosny-sous-Bois, ayant rejoint depuis peu l’équipe du département informatique et électronique de l’institut de recherche criminelle de la gendarmerie nationale (IRCGN).

Le STRJD est le service chargé, pour la gendarmerie, d’administrer l’information judiciaire, de faire circuler et traiter les messages de demande de rapprochement et de gérer les bases de données qui permettent ces rapprochements (en particulier Judex ou le fichier automatisé des empreintes digitales pour la gendarmerie). Son relais sur le terrain est constitué par les brigades départementales de renseignement et d’investigation judiciaire (BDRIJ).

Au sein du STRJD donc a été constituée en 1998 une équipe chargée de débusquer les infractions sur les réseaux ouverts au public. Depuis, cette équipe a crû progressivement pour atteindre l’organisation actuelle:

  • le département de répression des atteintes aux mineurs sur Internet (RAMI),
  • le département des investigations sur Internet (D2I), à vocation plus généraliste,
  • le département soutien et appui.

Au sein du RAMI, on retrouve le centre national d’analyse des images de pédopornographie (CNAIP), dont les missions ont été fixées par un arrêté du 30 mars 2009.

Enfin, au sein du département soutien et appui, a été placé le guichet unique téléphonie et Internet (GUTI) chargé de faciliter au quotidien les relations entre les enquêteurs de la gendarmerie nationale et les opérateurs de communications électroniques.

Les relais de l’action de la DLCC sur le terrain sont des enquêteurs en technologies numériques (NTECH) de toute la France qui, chacun dans leur région, mènent les investigations sur Internet qui toujours trouvent un prolongement hors de l’Internet.

J’espère passer quelques années passionnantes à ce poste !

19 septembre 2010 by Cybercriminalité Prospective 6

Stuxnet / CPLink la situation ne s’arrange pas

Mise à jour 03/08/2010: Microsoft diffuse un modificatif de sécurité répondant à l’alerte. Plus d’information dans leur bulletin de sécurité MS10-046.

Aujourd’hui, Graham Cluley (Sophos) attire notre attention depuis son blog sur les mises à jour récentes de la page d’incident mise en place par Microsoft sur cette vulnérabilité:

Ainsi, il serait possible pour l’attaquant de mettre en place un site Web présentant ces raccourcis problématiques ou bien les insérer dans un document (notamment de la suite Microsoft Office).

Les vers Stuxnet

Les plus curieux d’entre vous liront l’article que Symantec a consacré au fonctionnement du ver Stuxnet lui-même.

Se protéger ?

A ce jour, les mesures de protection conseillées par Microsoft, si elles fonctionnent, ne sont pas forcément les plus pratiques car elles empêchent de distinguer les icônes auxquelles les usagers sont familiers. Rappelons que deux autres solutions sont proposées (sur le blog de Didier Stevens):

Par ailleurs, pour Windows 7 et Windows 2008 R2, Cert-Lexsi propose l’utilisation d’Applocker.

Enfin, assurez-vous de disposer d’un antivirus à jour, ceux-ci doivent pour la plupart aujourd’hui être en mesure de détecter aussi bien des raccourcis qui exploiteraient cette vulnérabilité que les différents vers qui ont été identifiés dans la famille Stuxnet.

Articles de référence:

21 juillet 2010 by Criminalistique numérique Cybercriminalité Sécurité 0

Faille de sécurité des raccourcis sous Windows (suite)

VirusBlokAda - Découvreur du ver

L’exploitation de la faille de sécurité des raccourcis (fichiers .LNK) de Windows se poursuit, comme cela était prévisible. ESET nous avertit ainsi de l’apparition d’un nouveau fichier lié à Win32/Stuxnet (dont je parlais dans mon article de dimanche). Il est cette fois signé avec le certificat de la société JMicron Technology Corp. (encore un fabricant Taïwanais de composants électroniques, après Realtek ciblé précédemment…) et aurait été compilé le 14/07/2010.

Cette démarche paraît logique, puisque le certificat attribué à Realtek a été révoqué, et semble indiquer qu’il s’agisse de la même équipe à l’origine de la première propagation. 21/07/2010: Toutefois, comme l’indique Chet Wisniewski, la révocation des certificats n’a aucun effet sur la reconnaissance des virus signés avant celle-ci.

Enfin, il nous est signalé (Wired) que des mots de passe de bases de données des systèmes SCADA qui seraient la cible de ces attaques sont souvent codées en dur dans les distributions et qu’on retrouve notamment ces mots de passe sur des forums en langue allemande et russe, et c’est d’ailleurs ce mot de passe qui aurait mis la puce à l’oreille de Frank Boldewin:

20/07/2010: Après des rapports de sa présence dans plusieurs pays asiatiques (Iran, Indonésie, Inde), le ver est identifié pour la première fois chez un client industriel Européen de Siemens en Allemagne, selon IDG News.

A suivre toujours !

Comment se protéger (suite)

20/07/2010: Une nouvelle méthode de protection est expliquée par Didier Stevens sur son blog. Elle consiste à créer une règle locale restreignant le démarrage d’applications (exécutables .EXE ou .DLL) depuis d’autres localisations que le disque système (normalement C:\…). De son côté, CERT-LEXSI (via @razy84) explique comment sous Windows 7 et 2008 R2 on peut aller plus loin que ces règles SRP grâce à AppLocker.

20/07/2010: Sophos, enfin, présente une page de synthèse sur cette vulnérabilité.

Articles en rapport :

20 juillet 2010 by Criminalistique numérique Cybercriminalité Sécurité 1